У Freeradius проблема с чтением google_authenticator секретов Centos 7

Question

У меня есть freeradius настройка сервера с google authenticator, чтобы обеспечить базовую рабочую многофакторную настройку.

Все работает, когда я запускаю radiusd в режиме отладки в качестве пользователя root.Если я запускаю его как службу, вход в систему завершается неудачно, и при обработке сообщений регистрируются следующие сообщения:

radiusd (pam_google_authenticator) [1115]: не удалось прочитать «/home/user@domain.com/.google_authenticator» для"user@domain.com"

Я думаю, что это должно быть проблема с разрешениями, поскольку она отлично работает при запуске как root.

Я не хочу редактировать разрешения для каждогосекретный файл для каждого пользователя.

Я попытался указать root в

/ etc / raddb / radiusd.conf

user = root group = root

, но служба по-прежнему не работает, если не запускается из командной строки от имени пользователя root.У кого-нибудь есть хорошее элегантное решение этой головоломки?

Answer 1

Я думаю, вам следует проверить файл службы systemd для radiusd.Это может выглядеть примерно так:

https://github.com/ipfire/ipfire-3.x/blob/master/freeradius/systemd/freeradius.service

Вы можете добавить User= и Group= в раздел [Service] файла .service, если это необходимо.См.

https://unix.stackexchange.com/questions/347358/how-to-change-service-user-in-centos-7

и

https://serverfault.com/questions/806617/configuring-systemd-service-to-run-with-root-access

Было бы неплохо поместить содержимое файла .service для radiusd в вашем посте.